Malgré une recrudescence des incidents, le pouvoir des RSSI progresse faiblement
Placés de plus en plus sous la tutelle des DSI, les responsables sécurité informatiques en entre-prise n'ont pas forcément gagné en importance. Ils restent cantonnés à un rôle technique, de choix de produits, sous de fortes contraintes budgétaires, sans pouvoir aborder l'analyse et la préconisation qui seraient plus en rapport avec l'importance de leur sujet.
Tous les deux ans, le Clusif, Club de la Sécurité de l'information français (*) publie son étude MIPS (Menaces informatiques et pratiques de sécurité), avec un volet principal consacré aux entreprises (les deux autres ont trait alternativement aux collectivités locales ou aux hôpitaux et aux particuliers). 350 entreprises ont répondu (**).
Comme en 2012, le principal frein à la conduite des missions de sécurité reste le manque de budget, déploré dans 34% des réponses, le même chiffre que deux ans en arrière. Derrière, les RSSI invoquent d'autres facteurs, par ordre décroissant d'importance : le manque de connaissances, 25% des réponses, 11 points de plus qu'en 2012, les contraintes d'organisation, 22% des réponses 7 points de moins, la réticence de la « dg » 19% des réponses, 1 point de moins, enfin, le manque de personnel qualifié, 16% des réponses, 5 points de moins.
Sur le même sujetComment protéger son service Cloud des hackersDes budgets en diminution
Ce manque de connaissance passe de la cinquième à la deuxième place. Pour le Clusif, c'est la preuve que les RSSI gagneraient en importance en portant des questions plus techniques. De même ces RSSI ressentent moins le poids de la DSI et de ses éventuelles réticences à les soutenir qui sortent du « top 5 » des freins. Ils seraient donc un peu mieux reconnus, mais sans moyens supplémentaires. Le périmètre du budget sécurité est un peu mieux cerné, du moins est-ce l'opinion de 36% des RSSI interrogés, contre 25% en 2012. Mais ce budget diminue, affirment 54% d'entre eux (ils étaient 64% en 2012), la perception d'une augmentation forte ou moyenne est le fait de 27% seulement de ces responsables. Le poste qui enregistre la plus forte hausse est celui de la mise en place de solutions. Mais, on reste trop dans la technique juge le Clusif, dans le choix de produits pas assez dans l'analyse et la préconisation.
Nombre d'items sont dans le même registre d'une évolution faible voire d'une régression du pouvoir des responsables sécurité. Le nombre d'entreprises ayant formalisé un PSI (Plan de sécurité informatique) est pratiquement inchangé depuis quatre ans : 64% cette année, 63% en 2012 et en 2010. Et pourtant, le nombre de RSSI dans le même temps augmente, du moins la fonction est-elle de plus en plus clairement attribuée, dans 62% des entreprises contre 37% en 2008. 47% des RSSI sont à plein temps sur cette fonction, contre 63% en 2012. Elle entre donc souvent dans le cadre d'une « pluri-activité » interne. Dans 43% des cas, le RSSI est seul ou en binôme. Dans 8% des cas, l'équipe RSSI dépasse les 5 personnes. Si le RSSI n'existe pas en tant que tel, le DSI s'occupe de la fonction, sinon c'est le responsable système et réseau ou celui de l'exploitation qui fait fonction de responsable sécurité.
Le RSSI appartient à la DSI
Des responsables rattachés là la DSI dans 46% des cas, au DAF, pour 8%, à la dg dans 47% des entreprises. Ce dernier point se rencontre dans les entreprises de taille moyenne. Souvent évoquée dans les séminaires, la direction des risques n'est citée que par 1% des RSSI comme étant leur direction de rattachement. Le RSSI occupe globalement cinq tâches principales : technique (définition des architectures et suivi des projets), opérationnel (gestion des droits d'accès, administration,), fonctionnel (politique de sécurité, analyse des risques), juridique (charte utilisateurs, recherche de preuves), communication (sensibilisation).
Leur poids semble encore faible pour développer des politiques internes de sécurité.
L'inventaire du patrimoine informationnel ou la classification des informations progressent de 56 à 66% dans les entreprises interrogées. Le tiers des entreprises, 32% aujourd'hui et 38% il y a deux ans, n'en réalise aucun ce qui laisse supposer une grande difficulté à définir des niveaux de sécurité. Les entreprises des secteurs « services « et « commerce » semblent les plus déficientes sur ce sujet. Et 69% des entreprises qui parlent de classification ne l'ont réalisé que partiellement ! Le Clusif se demande si le RSSI n'est pas assez convaincant vis-à-vis de sa tutelle budgétaire ou bien si celle-ci se révèle trop fermée !
Le même constat pourrait se poser sur l'autre grande fonction du RSII, l'analyse des risques, qu'elle soit basée sur un référentiel ou pas. 21% des RSSI en font, deux petits points de plus par rapport à la précédente enquête. Les RSSI utilisant plusieurs méthodes : ISO 27005, EBIOS (Anssi) ou Mehari (celle du Clusif).
Un quart des entreprises ne se protègent pas
Un sentiment mitigé qu'on retrouve sur les modes de gestion utilisés. En matière de gestion de la sécurité physique par exemple, 70% des entreprises protègent leurs supports physiques (bandes, CD, papiers) mais cette protection est disparate suivant les secteurs, elle est faible dans le commerce et les services, surtout, un quart des entreprises s'en passent et restent donc vulnérables. L'accès nomade qui fait couler beaucoup d'encre ne semble pas préoccuper les politiques de sécurité, elles rejettent le Byod note le Clusif, seul l'accès Wifi en étant plus contrôlé est également un peu plus autorisé. Dans le même ordre d'idées, l'étude inquiètera ses lecteurs pour la vulnérabilité des « devices ». Si les PC portables sont protégés (anti-virus et anti-malware) les smartphones et les tablettes ne le sont pas. Les PC portables sont chiffrés par un tiers des entreprises, cette proportion n'évolue pas, les smartphones et tablettes sont encore moins chiffrés qu'il y a deux ans.
Les outils de protection et de gestion des vulnérabilités, pourtant matures, sont peu déployés, sans doute pour des raisons budgétaires. Le nombre de sondes IDS / DLP est stable depuis deux ans, les outils NAC (Network Access Control) de contrôle des périphériques également, les outils de type DLP (Data leak protection) sont même en régression. Les SIEM (Security information and event management) augmentent très faiblement. Là encore, la contrainte budgétaire pèse sur l'autonomie de décision des RSSI. C'est le fil rouge de l'étude.
Le paradoxe du RSSI
Paradoxalement, les incidents augmentent mais leur gestion est moins assurée dans l'entreprise. Selon l'enquête Clusif, les principaux incidents se nomment : pertes de services, ils passent de 26 à 39% en deux ans, les vols de 19 à 37% (***), les pannes internes de 25 à 35%. Concernant les incidents malveillants, les incidents par virus arrivent en tête devant les « attaques logiques ciblées ». Malgré cette progression, les entreprises gèrent moins les incidents de sécurité, 45% d'entre elles, contre 53% en 2012 disposent d'une cellule dédiée ou partagée de gestion des incidents de sécurité.
Tout aussi négative, la partie concernant les PCA montre que 27% des entreprises ne les prennent pas en compte, en légère régression par rapport à 2012. Et 25% des plans de continuité en vigueur ne sont jamais testés par les utilisateurs. Dès lors, à quoi servent-ils se demande le Clusif ? Inquiétude supplémentaire, 26% des entreprises interrogées, contre 18% il y a deux ans, ne se préoccupent pas de l'indisponibilité d'un fournisseur essentiel. Pourtant, elles externalisent de plus en plus. 50% des entreprises étudiées pratiquent l'infogérance, plus du tiers, 38%, du cloud computing.
(*) Le Clusif compte 540 adhérents, la moitié côté responsables en entreprises, l'autre concerne des prestataires.
(**) Les entreprises interrogées ont plus de 200 salariés, elles sont 7 500 en France, les 350 du panel représentent donc 5% des entreprises françaises. Le Clusif, sous la houlette de Lionel Mourer (du cabinet Atexio) responsable de cette partie de l'étude, élabore un questionnaire que le cabinet GMV Conseil traite avec les 350 entreprises du panel.
(***) 600 PC sont volés chaque semaine sur les deux aéroports de Charles de Gaulle et d'Orly, le quart d'entre eux n'étant pas chiffrés on imagine les conséquences.